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قهن 1 
الفيروسات والانترنت واهم أنواع الفيروسات 
الفيروسات والانترنت 
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الفيروسات وكيف تصمم في مهاجمة الملفات عصام سرحان ذیاب 


الحقدمة : 
تعتبر الفيروسات المشكلة التي تواجه العصر المتطور آي القرن العشرين ولكن لم 
يطلق عليها اسم في ذلك الوقت وأول من سماها بهذا الاسم عام ۱۹۸۳ هو ۴۲٤۵‏ 
لکن في هذه السنين كانت ما تزال الفيروسات كائنا نظريا أي لم يكن الحديث 
عنها شائعا بين الناس » ثم مالبثت أن تطورت وأصبحت في أجهزة الحواسيب وقد 
أصحت الحاحة ملحة إلى اكتشاف الفيروس المضاد . 
في الماضي كانت وسيلة انتقال الفيروسات من حاسب لأخر عن طريق تبادل 
الاسطوانات المرنة فالفيروس الذي يصيب الحاسب يضع نفسه في الذاكرة الالكترونية › 
وإذا أحس الفيروس إن الحاسوب يقوم بنقل ملف إلى وحدة الاسطوانات المرنة » فانه 
يقوم بنقل ملف إلى وحدة الاسطوانات المرنة » فانه يقوم بالالتصاق بهذا الملف حتى 
يتيح لنفسه فرصة إصابة حاسبة جحديدة إذا ماقام هذا الحاسب بتشغيل الاسطوانة 
المصابة . 
وبعدها جاء الانترنت ليقدم لمستخدميه خدمة البريد الالكتروني فوجدت الفيروسات 
وسيلة آكثر كفاءة للانتشار وإصابة اكبر عدد من الحاسبات › ففيروسات البريد الالكتروني 
والتي يطلق عليها نوع الدودة تصل إلى حاسباتنا في صورة ملف ملحق بالرسالة 
الالكترونية › فإذا أقمنا بتشغيل هذا الملف أو محاولة فتحه ينشط الفيروس لكي يصيب 
الحاسب . 
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فالفيروس هي نوع من البرامج التي يتم تطويرها لكي تحدث اثأرا تخريبية على 
الحاسبات التي تصيبها وهذه الفيروسات تكتب بإحدى لغات البرمجة التقليدية التي 
يستخدمها مطورو البرامج مثل لغة الفيجول بيسك او جافا يجب أن يكون الفيروس قادرا 
على الانتقال من حاسب إلى خر لكي يضمن له طريقة جيدة للانتشار بين اكبر عدد من 
الحاسبات . 

ظهر ول فيروس للحاسبات في أواخر الستينات فكان محددا نظرا لقلة عدد الحاسبات 
مما هو عليه ألان كما إن الحاسبات الشخصية لم تكن قد اخترعت وأيضا لم تكن هناك 
شبکات للانترنت . 

الوضع تغير ألان وأصبح عدد الحاسبات الشخصية في العالم يقدر بمئات الملايين كما 
إن شبكة الانترنت يتصل بها ألان أكثر من مليار شخص أتاح للفيروسات قدرة كبيرة على 
الانتشار مستغلين شبكة الانترنت كوسيلة سريعة تحقق لمطورو الفيروسات أهدافهم الشريرة 


ويمكن القول إن الفيروس هو برنامج دخيل تخريبي يتم زرعه عادة ضمن أنظمة 
تشغيل الحواسيب أو الملفات الاعتيادية الشائعة الاستخدام بصورة مباشرة عن طريق 
وسائط الإدخال كالأقراص المرنة أو بصورة غير مباشرة من خلال الانتقال بين حواسيب 
الشكة . 
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يهدف البحث إلى التعرف على اثر استخدام الفيروس على مستوى أجهزة الحاسوب 
وكيفية تصميمها في مهاجمة الملفات وبالتالي تكوين تعليمية ومفهومة على مستوى العامة 
لمعرفة وتعريف الفيروسات . 
قر كس اأ : 

تتحدد فرضية البحث من خلال بيان رؤية أساسية مفادها إن الفيروسات الهحومية 
تعمل على تخريب الحاسوب الذي تقوم بالسيطرة عليه وهي تنتشر بدون تمييز بين 
الحاسوب الذي لا يتسبب بضرر للحاسبة المصدرة للفيروس والحاسبة التي تسبب الضرر له 
وهي تستخدم شبكة الانترنت للانتشار والانتقال بينما تعمل الفيروسات الدفاعية على 
حماية نظم التشغيل الخاصة بالحاسبات نظم إدارة الملفات الخاصة بها من التدخل 
والتطفل من قبل أشخاص آخرين غير مخولين » هدفهم السيطرة على تلك البرمجيات 
وسرقة المعلومات وهي ذات انتشار محدد ولا تنشط إلا في حال التعدي على الجهاز 
المصدر لها أو سرقة إحدى منتجاتها البرمجية الغير مرخصة للشخص الذي يقوم بسرقة 
تلك البيانات » وبالتالي فالفيروسات هي حقيقة علمية على مستوى حواسيب العالم اجمع 


مسكلانت اأسحف : 

فى حلول العام ۹۹١‏ تزايد حجم المشكلة بشكل ملحوظ فظهرت الحاجة الملحة 
لوحود برنامج مضاد للفيروسات › فكان آول برنامج من هذا النوع هو البرنامج المعروف 
باسم " "Norton Anti Virus‏ الذي اصدرته شرکة " "S21٤٩‏ عام ۱۹۹۰ . 
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ومع ظهور طريقة حديدة لاكتشاف الفيروسات و التخلص منها أصبحت الفيروسات 
بحاجة ملحة لرماز أكثر تطورا يمكنها من القفز فوق البرمجيات المضادة لها فظهرت 
الفيروسات متعددة الأشكال في العام ۱۹۹۱ . 
ومع ظهور نظام التشغیل 95 :W٥لہ1س‏ اعتقد العدیدون آن الفیروسات إلى زوال › لکن 
ما حدث بالفعل ظهور فيروسات أكثر خبثا وضررا عرفت باسم فيروسات المايكرو » وفي 
العام ٠٠٠٠١‏ أصبح بإمكان الفيروسات أن تنتشر عبر شبكة الانترنت عن طريق الالتصاق 
برسائل البريد الالكتروني وغيرها من الكائنات التي تنقلها الشبكة . 

يبقى السؤال الأهم هو : من يكتب تلك الفيروسات وما الذي يدفع مبرمج ذكي إلى 
كتابة برامج تتسلل إلى أآنظمة الآخرين وتحاول إيذائها ؟ 
لقد طرح هذا السؤال في عدد كبير من المقالات وكتب المعلوماتية وحتى الفلاسفة › 
ولقد تصدرت C٥۲0‏ 52۲4 الخبيرة بالىرامج المضادة للفيروسات لدراسة هذا الموضوع 
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الفيروسات وكيف تصمم في مهاجمة الملفات عصام سرحان ذیاب 
الفصل الثانى 


( ماھت ایرو سانت وسس مھا جیتھا شحو اه 


- ريف اأفيروس: 
يعرف فيروس الحاسوب بأنه برنامج ينفذ وينسخ نفسه دون معرفة (المضيف) آي المستخدم 
هناء ومع إن الفيروسات ليست مدمرة بالضرورة لكن يمكن ان يقوم بعضها بإتلاف الملفات 
أو الكتابة فوقها أو بأعمال مؤذية أخرى. 
ويوصف الفیروس عموما كما يلي: 

. هو برنامج قادر على التكاثر» أي يستطيع أن ينشىٌ نسخا من ذاته (ليست بالضرورة 

متطابقة). 

۲. تعتبر عملية النسخ الذاتي غاية بحد ذاتها وليست مجرد اثر جانبي لفعل آخر. 

۳. بعض النسخ المولدة (على الأقل) هي فيروسات أيضا وفق هذا التوصيف. 

. يلتصق الفيروس بمضيف ما بحيث يؤدي تنفيذ المضيف إلى تنفيذ الفيروس‎ .>٤ 
فة ااشيروس ومكوناقه الموفليفية:‎ - 

يتضمن أي فيروس إجرائيتين أساسيتين لا غنى عنهماء الأولى هي إجرائية البحث 
التي تقوم بتحديد الملفات أو مواقع الذاكرة التي يمكن أن تكون هدفا للفيروس» تقوم 
هذه الإحرائية إذا بتحديد الموقع الذي ستتم عملية نسخ الفيروس إليه كما تحدد إذا 
كان يجب آن يتم هذا النسخ بسرعة أم بىطء» وإذا كان بإمكان الفيروس مهاجمة وحدات 


مختلفة داخل الحاسوب أم القرص الصلب فقط مثلاء وإذا كان بإمكانه مهاجمة آي 
جزء من القرص أم أجزاء محددة منه. 
بمكن أن يكون برنامج البحث هذا متطورا إلا إن ذلك بتطلب استخدام المزيد من 
الذاكرة لتخزين تعليمات الفيروس» وبالرغم من إن طريقة البحث أكثر كفاءة يمكنها أن 


۸ 
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تساعد الفيروس على تأدية عمله بشكل أفضل إلا أن ذلك سيؤدي إلى زيادة حجم 
الفيروس وهذا آمر غير مرغوب فيه من وجهة نظر كاتب الفيروس. 

أما الإجرائية الأخرى التي يجب أن يتضمنها الفيروس فهي إجرائية النسخ التي تقوم 
بإعادة نسخ تعليمات الفيروس إلى المنطقة التي تكوون إجرائية البحث قد حددتها في 
وقت سابق» ويجب أن تكون هذه الإجرائية متطورة بما يكفي لان تؤدي عملها دون آن 
تصبح عرضة للاكتشاف» وكلما كانت هذه الإحرائية صغيرة كلما كان أداء الفيروس أفضل› 
ويرتبط حجم هذه الإجرائية عادة بدرجة تعقيد الية النسخ» فالفيروس المصمم لمهاجمة 
ملغفات ١۳٥0ء‏ فقط يستخدم إجرائية نسخ اصغر بكثير من تلك التي يستخدمها الفيروس 
المصمم لمهاحمة ملفات 5×۴ إذ إن صيغة الملف ٤×۴‏ أكثر تعقيدا من صيغة الملف 
وبالتالي يحتاج الفيروس لمزيد من العمل لكي يستطيع الالتصاق بالملفات من نوع 
EXE‏ . 


تسمح هاتان الإجرائيتان للفيروس بتنفيذ أهدافه» إلا انه قد يضاف للفيروس في 
بعض الأحيان وظيفة آخرى بهدف حمايته» أي إخفائه بحيث يصعب على المستخدم أو 
برامج البح عن الفيروسات اكتشاف وجوده» ويمكن تحقيق هذه الوظيفة ضمن 
إجرائيتي البحث والنسخ» كما يمكن إن تشكل إجرائية مستقلة بحد ذاتها. يمكن لبرنامج 
الىحث مثلا أن يقصر عمله على منطقة صغيرة محددة وذلك أن ترك هذا الىرنامج يعمل 
دون قيود قد ينبه المستخدم بطريقة أو بأخرى إلى حدوث فعالية غير عادية ضمن 
الحاسوب. من ناحية أخرى يمكن لبرنامج الإخفاء أن يضبط عمل الفيروس» فعلى سبيل 
المثال يمكن أن يقوم هذا البرنامج بإطلاق عمل الفيروس في وقت وتاريخ محددين 
يكون الفيروس قله هامداء أو يطلق عمله عند غياب الضغط على احد المفاتيح لمدة 


خمس دقائق مثلاء الأمر الذي يعني إن المستخدم غائب عن مراقبة حاسوبه. 
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تشكل الاجرائيات الثلات السابقة المكونات الضرورية لعمل الفيروس وسوف نقوم 
بدراستها بالتفصيل خلال هذا الكتاب. وقد تتضمن بعض الفیروسات اجرائیات آخری غير 
تلك المذكورة هناء إذ يمكن أن يتضمن الفيروس اجرائيات أخرى تهدف إلى تعطيل 
عمل الحاسوب كلياء وأحيانا تخريبه فيزيائياء وأحيانا أخرى للعب والتسلية فقط. 
لا تعتبر هذه الاجرائيات الإضافية أساسية لعمل الفيروس» بل على العكس فهي ضارة 
بالفيروس نفسه أحياناء إذ يمكن أن تجذب انتباه المستخدم لوجوده. 

إن معظم الفيروسات الشائعة هي فيروسات (انتحارية) يتم اكتشافها فورا بعد تنفيذهاء 
وهي لا تكتب بهدف التدمير وتخريب المعلومات بل بهدف اللهو واللعب فقط فقد صمم 
احد الفیروسات مثلا بحیث يیحعل الحاسوب یدو کما لو انه آلة غسیل فتظهر شاشته بعض 
الرسوم العشوائية ويصدر ضجيجا يشبه آلة الغسيل. 


N « 


ما هو اأحجم الأحقيقي لسكا اأشيروسات؟ 
أعلانت ش رکات Network Associa‏ التي وضعت البرنامج 5-27 Virus‏ 
المضاد للفيروسات إنها رصدت أكثر من (00 570) برنامج مؤذي» ومع إن هذا العدد اكير 
من كل الأعداد التي أعلنتها الشركات الأخرى التي تعمل في مجال كتابة البرامج 
المضادة للفيروسات فمن المؤكد أن العدد الفعلي للفيروسات يتراوح بين 3500 و 5000 
فيروسا. وتشير بعض الاستطلاعات إلى إن أكثر من 98% من شركات الأعمال في آمريكا 
الشمالية تتعرض سنويا لمشكلات ناحمة عن الفيروسات والىرامج المؤذية الأخرى. 


وتقدر تكاليف الأضرار الناحمة عنها بين 1و3 كما أعلن المرکj Trend Micro‏ 
المتخصص بتعقب الفيروسات» إن أكثر من مليون إصابة تحدث كل يوم. والشكل الاتي 
يبين التزايد لعدد الفيروسات منذ بدء ظهورها وحتى نهاية القرن الماضي حيث آخذنا 
القيم الوسطى للآعداد التي أعلنتها بعض الش ركات الموردة للبرامج المضادة للفيروسات. 
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ووو" 199g‏ " 1997 "96و1 " 5وو1" 4و9و1 " 1993 "1992 "1991" 1990 "1989 


السنة 
وقد أعلن مخبر الجمعية لأمن الحواسيب انه توصل من خلال دراسة أجراها في العام 
0 إلى محموعة الحقائق التالية: 
ه٠‏ من بين كل 1000 حاسوب مشمول بالدراسة يتعرض 160 حاسوب كل عام 
للإصابة بالغيروسات. 
٠‏ تعرض أكثر من نصف مراكز الأعمال المشمولة إلى كارثة تسببها الفيروسات (إصابة 
آکثر من 25 حاسوب في الوقت نفسه) . 


يبلغ الزمن الوسطي لتوقف العمل الناجم عن الفيروسات حوالي 21 ساعة لكل 
حاسوب سنویا. 


٠‏ تعرض أكثر من 80% من مراكز الأعمال إلى كوارث بسب الفيروسات الواردة عن 
طريق البريد الالكتروني. 
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يستخدم أكثر من 6 من المراكز المشمولة بالدراسة برمحيات مضادة 
للفيروسات. 


إن أهم ما تحدر ملاحظته من نتائج هذه الدراسة هو عدم كفاية البرامج المضادة 


للفيروسات للحماية منها. 


ما هي الأضرار التي يمكن أن يسببها الغيروس؛ 


لا تسب معظم الفيروسات أضرارا جدية على الإطلاق. في حين يمكن أن تتسبب 


بعض الفيروسات بأشكال متنوعة حدا من الإزعاحات أو الأضرار الحديةء وإذا كانت كل 
الفيروسات تشغل حيزا من مناطق التخزين المتوفرة وتشغا موارد النظام إلا أن د بعضها قد 
يسبب ما يلي: 


اختناقات في خدمات البرید الالکتروني. 
حذف الملفات أو تعديلها. 

إفشاء معلومات أو أسرار شخصية هامة. 

تخفيض مستوى أداء الحاسوب. 

تخفيض إنتاجية الحاسوب والمستخدم. 

إظهار رسائل جدية أو ساخرة على الشاشة. 
حذف محتويات الملفات. 

تشويه المعطیات. 

توليد سلوك غريب يؤدي إلى إيقاف الحاسوب. 
توليد إشارات صوتية مزعجة أو توليد موسيقى عادية . 
إيذاء البرمحيات التطيقية. 


ويبهصهغة أأخرى قد تكون الاضرار الضاجية من وجود الفيروسات: 


محدودة: يكون اثر الفيروس مقتصرا على إزعاج المستخدم دون إيذاء البرامج أو 
الملفات» وتكون إزالة الفيروس سهلة كما يمكن إصلاح آثاره بسهولة أيضا. يؤدي 
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الفیروس ۴٣۲۳‏ مثلا إلى إصدار الصوت العادي (مءء8) عند الضغط على مفاتیح 
لوحة المفاتيح في اليوم الثامن عشر من الشهر. 
٠‏ متوسطة: كأن يتسبب الفيروس في تعطيل بعض البرامج التطبيقية مما قد يضطرك 
إلى إعادة تشيتها من جديد. 


٠ه‏ شديدة: كأن يتسب الفيروس بتهيئة سواقة القرص الصلب أو الكتابة فوقهاء كما 
يفعل الفيروس Michelangelo‏ الذي ينشط في السادس من آذار وهو تاريخ ولادة 
الغنان Michelangelo Boun nar)‏ فیکتب معطیات غیر مفیدۃة فوق القسم الاکہر 
من القرص الصلب. 


- كقاية الشيروسات: 
كتىت معظم الفيروسات فيما مضى باللغة التحميعية ٥2ا21[‏ راbصہعءیءیءA‏ لکن 
يمكن من حيث المىداً أن تكتب الفيروسات بلغة عالية المستوى مثل ٤‏ أو 1۷3[ أو غيرهاء 
لكن لا توفر هذه اللغات الإمكانيات التي توفرها اللغة التجميعية» فهي اللغة الوحيدة التي 
تمكننا من السيطرة على كافة موارد الحاسوب واستخدامها بالطريقة التي نريد. 
يحتاج تعلم اللغة التجميعية إلى وقت لا بأس به» كما يتطلب معرفة بعض المعلومات 
المتعلقة بنيان الحاسوب. 
بينما يمكن تعلم اللغات عالية المستوى في وقت اقصر نسبيا ويمكن تعلم لغات الماكرو في 
وقت قصير حداء وقد استخدمت هذه اللغات بالفعل لكتابة عدد لا باس به من 
الفيروسات» ربما تشكل اليوم القسم الأكر من الفيروسات المنتشرة عبر العالم» فقد أفسحت 
هذه اللغات المحال لعدد كبير من الهواة لكتابة الفيروسات الماكرو الخسيثة. 
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vi 


- أهراض الإابة بالشيروس: 
٠‏ تكرار رسائل الخطاً في أكثر من برنامج. 
٠‏ ظهور رسالة تعذر الحفظ لعدم كفاية المساحة. 
* تكرار اختفاء بعض الملفات التنفيذية. 
٠‏ حدوث بطء شديد في إقلاع نظام التشغيل أو تنفيذ بعض التطبيقات. 
فالفيروس عبارة عن برنامج صمم لينشر نفسه بين الملفات ويندمج أو يلتصق بالبرنامج» 


فعند تشغيل الىرنامج المصاب فانه قد يصيب باقى الملفات الموحودة معه فى القرص 
الصلب أو المرن لذا يحتاج الفيروس إلى تدخل من جانب المستخدم كي ينشر. 
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اذا بق اأضاس فمروسات الجا سو دي؛؟ 

فيروسات الحاسوب لا تتشابه في وجودها بالفيروسات الحيوية. إن فيروس الحاسوب لا 
ينشئ من لا شي ء أو لا يأتي من مصدر مجهول أو ينشئ بسبب خلل بسيط في الحاسوب. 
فيروس الحاسوب يتم برمجته من قبل المبرمجين أو الشركات ويتم صنعه بشكل متعمد 
ويتم تصميمه بشكل متقن. يعمل المبرمحون على خلق الفيروسات وذلك لأهداف عديدة 
تتنوع من اقتصادية وسياسية وتجارية وعسكرية. فبعض المبرمجين يعتبرون إن عمل 
الفيروس نوع من الفن والهواية التي يمارسونها. ومن أهم الآهداف لعمل فيروس 
الحاسوب هو الهمدف التجاري. ذلك عن طريق عمل وصنع الفيروسات من اجل بيع 
برامج مضادات الفيروسات. يذ كر إن المبرمج الذي يعمل الفيروس يعتبر حسب القانون 
مجرما وصناعة الفيروس جريمة يحاسب عليها قانون الدولة الموجود بها. معظم شركات 
مضادات الفيروسات تقوم بصناعة الفيروسات من قبل المبرمجين تقوم بعمل مضادات لها 
وذلك لتسویق منتجاتها وبرامجها لدی مستخدمي الکومبیوتر برنامج تطفلي تخريبي يقحم 
نفسه في ملفات الحاسوب عبر عملية نسخ نفسه. ويتم عادة تنفيذ الفيروسات عند تحميل 
الملفات المصابة إلى الذاكرة مما يسمح يإعادة عملية انسخ.. الأثر السلبي للفيروسات 
واضح دائما ومن الممكن أن يكون تأثيرها عالميا.احد الأمور التي قد يقوم بها الفيروس 
هي حجز مكان كبير من الذاكرة وبالتالي عدم السماح للبرامج بأخذ مكانها المطلوب. 
تدعى البرامج التي تمتلك القدرة على نسخ نفسها والانتهاء بنتائج مؤذية على الحاسوب 
بالىکتريا b2) e111‏ . 


1o 
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الفصل الثالث 
اأفيروسانت ويف مھا جيتها اطم WINDOWS ڊم۾lظiilg ¬OS‏ 

تھ : 

إن الانتشار الكبير للحواسيب الشخصية المترافقة مح حواسيب 18×۷ والتي تستخدم 
معالجات )1١11(‏ وتشغل برامج مخصصة للعمل ضمن بيئة نظام (05S‏ قد ساعد كثيرا في 
توسيح الوسط الذي ينتشر فيه الرماز النقال المؤذي وعلى الرغم من انتشار واستخدام 
نظام التشغيل ۷1N(0۷۷S‏ في السنوات العشر الأخيرة مازال الكثيرون يعتبرون 
فيروسات النظام 05( نموذجا أساسيا للرماز النقال المؤذي» وذلك نظرا لكثرتها. وبذلك 
نعتقد إن فهم آلية عمل هذه الفيروسات ضروري لفهم آلية عمل الرماز النقال المؤذي. 
COM ş EXE dùzniiall ailêdkl -‏ 

إن كتابة وتعديل الملفات 00M‏ أسهل من كتابة وتعدیل الملفات 8×۴ لكنها تخضع 
بالمقابل لقيد بنيوي إذ يمكن أن يتجاوز حجمها 4۸8 وتخزين المعطيات الخاصة 
بالبرنامج مع البرنامج نفسه في مقطع واحد من الذاكرة حجمه .4K8‏ يمكن إنشاء برامج 
اكبر باستخدام تقنية تراكب الملفات وتبديل أجزاء البرامج الموجودة في الذاكرة وهذا 
يفسر سهولة مهاجمة الفيروسات للملفات المتراكية (0۷1). 

يطابق ملف 0K0۷‏ الموجود في الذاكرة النسخة الرقمية الثنائية الموجودة على 

القرص باستثناء وحيد» فكما يبين الشكل التالي لكل ملف K0M‏ ترويسة طولها 256 بايت 
تسمی باد ئة مقطع الہرنامج ۲5۶۶ 
Pram Segment Prefix)‏ ) التي یعدها نظام 05( دون العودة إلى الملف الأصلي. 
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الرمازء المعطيات» المكدس الترويسة 
PSP‏ 
دادئة مقطع الب نا 
Sk al e EE (64 KB)‏ 
بنية الملف °0 
EXE silal‏ : 


يختلف الملف ۴× المشحون إلى الذاكرة عن صورته الثنائية الموجودة على القرص»› 
إذ يمكن أن يشغل اكبر عدد من المقاطح» وتوضح المعطيات في مقاطع غير تلك التي 
توضع فيها تعليمات البرنامج» ويهتم النظام 00S‏ بإعداد بادئة مقطع البرنامج (۲5۶) 
لكنه يستقي المعلومات الأخرى من ترويسة الملف ۳×۴ التي يبلغ طولها 512 بايت 
والتي تحوي معلومات تخبر نظام 005 آين توضع المقاطع المختلفة (مقطح الرماز 


ومقطع المعطيات ومقطع المكدس) وأين يبدا رماز البرنامج › والشكل التالي يبين الملف 
EXE‏ 
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مقاطع مقاطع المعطيات | مقاطع الرماز 
المكدس الترويسة 
KB) (64 KB)‏ 64( 
KB)‏ 64( 
بنیة الملف E×X۴‏ 
یرو سانت ااففانت: 


تستخدم فيروسات الحاسوب رماز الملفات المضيفة لكي تنشر فيكتب فيروس الملف رمازه 
نفسه على الملفات المضيفة الأخرى التي تكون عادة ملفات تنفيذية كملفات C0‏ أو 
کملفات 8×۴ › وقد تکون أیضا ملفات معطیات او ملفات 5۲5 أو 211 أو 081 ویمکن 
تصنيف فيروسات الملفات في ثلاث فئات: الأول لا يحل فيها الفیروس رمازه محل رماز 
الملف المصاب. والثانية يتصل فيها الفيروس بالملف المصاب. والثالثة ىقى فيها الفيروس 
مرافقا للملف. 


اشرو سات التي تقهز بأ« :Appending Viruses sak)‏ 

تضيف فيروسات هذا النوع رمازها إلى الملف المضيف الأصلي دون أن تدمره 
ويضيف بعضها رمازه إلى نهاية الملف المضيف (10118١ءمص۸)‏ بيذما يضيف بعضها الأخر 
رمازه إلى بداية الملف المضیف (1۱8ل٣ءم٠۴۲)‏ لكن على هذه الفيروسات أن تحدد أولا 
نمط الملفات المضيغة التي ستهاجمهاء فلكل نمط من الملفات C0‏ أو ٤×۴‏ او S۷5‏ 
أو غيرهاء بنيته الخاصة التي يجب الحفظ عليها بعد إضافة رماز الفيروس وتعتبر هذه 
الفيروسات أكثر قدرة على النجاح والانتشار لأنها تحافظ على الوظيفة الأصلية للملف 
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المضيف فيتأخر اكتشاف وجودها. ونشير هنا إلى أن تنفيذ رماز الفيروس لن يزيد على 
زمن تنفيذ الملف السليم إلا أحزاء صغيرة من الثانية. 

يسین الشكل الاتي مثالا لإصابة ملف بفيروس يضيف رمازه إلى بداية الملف المضيف: 


ملف البرنامج الأصلي الترويسة 


ملف البرنامج الأصلي رماز الفیروس الترويسة 
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تمشيل برنامج قبل الإصابة بالفيروس وبعد الإعمابة به 


إعمابة اخفشانت: 

بعد ن یعثر الفیروس )۴E5P2۷2((‏ (هو اسم لفیروس يصیب الملفات)) على من يصیبه 
ينشيَ نسخة من تعليماته ذاتها باسم يطابق اسم الملف المضيف لكن مع اللاحقة °0١‏ 
بدلا من اللاحقة 5×۴ » ولإعادة تسمية المضيف ينسخ الفيروس اسمه في المنطقة 51۸ 
حيث وضعته إجرائية البحث» ويحفظ هذا الاسم في المتحول K0M‏ ثم ینشیٌ ۷٣‏ ھم8 


ملفا بالاسم الأصلى للمضيف. 

MOV ah , 9EH ;DTA+1EH, Com File Name 
MOV ah , 3CH ;DOS File Create Function 
MOV cx ,2 ;hidden attibute 
MT 21H 

تم یک يكتب نسخة من رمازه في هذا لملف: 
MOV ah , 40H ;DOS File Write Function‏ 
MOV CX ,Finish-Espawn ;Size of Virus‏ 
MOV dx , 100 H ;Location of Virus‏ 
Int 21H‏ 


نلاحظ هنا كيف يعطى الفيروس 8:3۷1 الصفة (مخفى) للملف الذي ينشئه وبذلك 


يصح العثور عليه أصعب. 
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اأشىرg WINDOWS a4ظضi lg il‏ : 
WINDOWS silk lai‏ 
بدا نظام ئەل س 0¬¡ )0یهMir‏ کغلاف يخفي خشونة نظام 005 ثم بدا يقل اعتماده 
على هذا النظام تدريجياء وقد وضعت شركة ميكروسوفت نواتين مختلفتين لمنصات عمل 
8 9% و 1 . ومع إنهما تبدوان متشابهتان لکنهما في العمل مختلفتان بشکل 
واضح. ونشیر هنا إلى إن نظام M٤‏ 54 ينتمي إلى الفئة ×9 بينما ينتمي نظام 
Windows 0‏ إلى الفئة .NT‏ 
تعتير كتابة التطبيقات لأي من المنصتين أصعب بكثير من كتابة تطبيقات النظام 00S‏ › 
ولذلك تاآخرت فیروسات نظام ۷1N(0۷S‏ بالظهھور بعد عدة سنوات من انتشارہ مما 
جعل الكثيرين يعتقدون انه قد قضي على فيروسات الحاسوب ليتبين لاحقا إن هذا 
الاعتقاد کان خاطنًا. 
تستخدم إصدارات ۷1N00۷Sالحالية‏ الكثير من المبادئ والتقانات التي قدمتها شركة 
ميكروسوفت .3 ۷100۷8 ولن نتعرض في الفقرات القادمة إلا للتقانات والمفاهيم 
التي تهمنا لدراسة عمل الفيروسات او الرماز النقال المؤذي» لذلك قد تبدو هذه الفقرات 
غير مترابطة لكنها تقدم ما يكفي لموضوعها الحالي. 
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: WINDOWS qes iilake gels WINDOWS ڌر‎ lظill‎ mig 

كان الفيروس ۷۲ ۷1١‏ آول فيروس مخصص لمهاحمة بيئة النظام W]N(0۷S‏ › 
وقد ظهر هذا الفيروس في نيسان من العام 1992 أي بعد عامين من صدور النظام 
ND OWS 0‏ ]ا . ومع انه کان یصیب ملغات ×۴٤‏ التنفيذية لکنه لم يکن يحوي أي 
استدعاء لتوابع الواحھة Program ]nteracء( ۸P1‏ icationاAppP)‏ بل کان یعتمد علی 
مقاطعات النظام 05( . يصیب هذا الفیروس عند تشغیله کل الملفات E×۴‏ الموحودة 
في الدليل الحالي ويحذف رمازه من البرنامج الذي يستضيفه. 

وفي شباط من العام 1996 ظهر الفيروس 8021 وهو آول فيروس مخصص للعمل في 

بيئة النظام 95 ۷1N(0۷S‏ » يىحث هذا الفيروس عند تشغيله عن ثلاثة ملفات تنفيذية 
من النمط 32- بت في الدليل الحالي ليصيبها » وإذا لم يعثر على ثلاثة ملفات ينتقل 
للبحث في الدليل ذي المستوى الأعلى مباشرة.وبالتالي فقد يصل إلى الدليل الجذري . 
وفي اليوم الثلاثين من كل شهر يعرض الفيروس 80724 رسالة تعرض عن وجود وتعرض 
قائمة بفيروسات أخرى كتىتها المحموعة المعروفة باسم 54ا /. 

لم يعد من الضروري استخدام اللغة التحميعية لكتابة فيروسات النظام WIND0⁄0W5‏ 
> فقد سهلت لخات البرمجة عالية المستوى التي تطورت مح ظهور هذا النظام كتابة 
الفيروسات » كما أصبحت بنى الملفات الموثقة بشكل أفضل وأصبح من السهل العثور على 
الوثائق مجانا على شبكة الوبب. 
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أ مشلة من فيروسانت نظام WINDOWS‏ : 

: Win 32.K7i2 اشرو س‎ 

یصیب الفیروس K1۲2‏ ملفات P٤‏ التنفیذية › وھو یحاول ان یسب اُذی مشابھا لما 
يسببه الفيروس ١1١‏ ولكن في 25 كانون الأول من كل عام . لكنه لا ينجح إلا على أنظمة 
WINDOWS 9X‏ . 
عند تشغيله للمرة الأولیى ينسخ هذا الفیروس نفسه إلى ملف اسمه KR۸Z1۴٤5.1۲1۲6‏ ثم 
يعدل أو ينشْيٌ ملف ۷1[1111١٠.1١1‏ بحيث يجري نسخ هذا الملف فوق الملف 
KERNEL. LL‏ عند الإقلاع التالي وهو يصيب ملفات تنفيذية متنوعة عند استدعاء 
توابع معينة من الواحهة ۸۲1 . 


: Win95.PriZzzy ww gj 
کتبه مبرمج تشيکي اسمه ۶۲177۷ محاولا تجاوز حدود فیروسات النظام‎ 
اول فيروس يستخدم تعليمات المعالج الحسابي‎ ۲۲17z 58ل ]۷ » فکان الفیروس‎ 
المساعد الذي كان في الحواسيب الأولى عبارة عن رقاقة مستقلة. لكن بعد ظهور الجيل‎ 
أصبح جزئًا من المعالج نفسه. يحاول المعالج الحسابي المساعد تخفيف أعباء المعالج‎ 6 
بانحاز العمليات الحسابية المعقدة . ثم قدمت رقاقات )۸ء۲ معالحا مساعدا حديدا‎ 
(10۸ءمعاء×ء d1aعصi)ااص) لتسريع عمليات الرسم البياني المعقدة . وقد‎ 1١× سمي‎ 
وجدت الفيروسات متعددة الأشكال في استخدام تعليمات المعالج المساعد وسيلة جيدة‎ 
إذ يؤدي استخدام هذه التعليمات إلى زيادة صعوبة اكتشاف الفيروس . ومح إن الفيروس‎ 
لم يكن ناجحا لكنه مهد الطريق لظهور فيروسات جحديدة تستخدم تعليمات‎ ۲۲177( 

المعالج المساعد نذ كر منها الفيروس ۷1132.110۲1١‏ والفیروس W132. g4‏ . 


| أشيرو سات وا سر یت 
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لا يمكن اعتبار أي حاسوب متصل بشبكة الانترنت آمنا تماما » إذ مهما اتخذ من 

إحراءات يىقى برنامج التصفح معقدا بحيث لا يمكنك سد كل الثغرات › وإذا كنا نريد 
مانا مطلقا فما علينا إلا حذف المصفح . 
قد نستغرب هذا القول » لكن بالفعل فمجرد التجول عبر الشبكة يعرض الحاسوب للخطر › 
فعند الوصول إلى صفحة الويب يجري عادة تحميل كل محتوياتها التي يسمح لنا 
بتحميلها . وقد تكون بعض هذه المحتويات قالبة للتنفيذ » ويمتلك المبرمج ترسانة من 
الأدوات التي تستطيع أن تحول ارتباطا بسيطا إلى كائن مؤذ عبر استخدام التقانات 
التالية : 

. HTML ãil 

.)له۷a‎ ؟Sء›۲1مأ اللغات الخطاطية (مثل‎ ٠ 

٠ه‏ لخة حافا )[ava2(‏ . 

Ac)1۷ع× العناصر‎ ٠ 

. browser add-018) ملحقات المتصفح‎ ٠ 


: HTML ul 
إن وثائق الويب هو عبارة عن الملفات نصية عادية تخضع لمعابير لغة تأشير النصوص‎ 
الفائقة‎ 
لتي تعتىر بدورها محموعة حزئية من لغة‎ (Hyper Text Mar Kup Language)HTM 
$61 آوسع کانت تستخدم لتوصيف الوثائق قبل ا1٥11 هي لغة‎ 
. (Standarzid Ganeral Mar Kup Laguage) 


ويضم ملفه 11۷11 البسيط أربعة مكونات وهي : 


. النصوص‎ ٠ 
. )1agئs( الإمارات‎ 
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الارتىاطات (ksہ1ا)‏ . 
٠‏ محتويات أخرى غير نصية. 
ويمكضغا أن نعطي مثال وثيفة 11۷1 اأصغيرة . 
<HTML>‏ 
<HEAD>‏ 
<TITLE>Tiny HMTL document</TITLE>‏ 
<BODY>‏ 
<P>Hello Word !‏ 
</BODY>‏ 


</HMTL> 


یمثل نص بر مجي لوثيقة [N11‏ صغيرة . 


آما هذا الجدول فيمثل بعض امارات 1111 التي يمكن استغلالها لنقل الفيروسات 
والرماز المؤذي: 


الامارة الوصف مثال 


Yo 
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نشي ! ة 1 : 
تشير إلى صورة >" <Img.Scr=" graphics/picture.gif‏ 
<ا٥S.عص]>‏ ضهن وثيقة الوب تحمل ملفا بیانیا اسمه 1۴ع.۲۶٠)ء1م‏ من الدلیل الفرعی 
36ع من مخدم الوب ضمن المتصفح . 
<a herf=‏ 
ا http://www.myexample.com/index.html>‏ 
لإنشاء ارتباط بوثيقة 
E EE <Aherf>‏ 
اجرئ او رصن 
آخر 
<Frameset Cols=" 50% ,50% " rows=" 15% ,‏ 
E A‏ 3 29% 
<Frameset>‏ کس ا و 
وحدود مجموعة 
من الأطارات ضمن 
المتصفح . 
<script Type= "text/vbscript" scr =‏ 
"hppt//www.example.com/vbcale">‏ 
<script‏ للعرت نوق </SCRIPT>‏ 
خطاطة في الصفحة 


بعض إمارات 1111 التى يمكن استغلاها لنقل الفيروسات والرماز المؤذي. 


- يعض اأتقاغا نت : 
لقد دى الانتشار الكبير الذي لاقته برامج تصفح الانترنت تطور هذه البرامج وزيادة 
تعقیدها بحیث اصبحت وظائفها كثيرة ومتشعة » وبحيث ازدادت الصلات بين هذه 


البرامج وكل أنواع البرامج الأخرى › مما أدى بدوره إلى فتح أفاق حديدة كثيرة 
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للقراصنة وكاتبي الفيروسات › وسنستعرض فيما يلي بعض التقانات التي يمكن لكاتبي 
الفيروسات استغلالها. 
- مواضيح السرية والخصوصية : 
يتساءل المستخدمون دوما عما يمكن لموقع الوب أن يعرفه عنهم من معلومات شخصية 
بمجرد زيارته . تمتلك مواقع الوب أربع طرق لجمع المعلومات :- 

. معلومات عامة من المتصفح‎ ٠ 

٠‏ المعلومات التي يدخلها المستخدم في الاستمارات. 

. تقنيات التعقب‎ ٠ 

الکعکات (sع¡Cooki)‏ . 


Cookies ) silama -‏ : 
وهي ملفات نصية ينشئها موقع الوب ويخزنها على القرص الصلب المحلي (عادة في 
الدلیل cokes‏ ۲ء W1۸٣‏ ) ویستخد مھا لتساعدہ في تذکر معلومات عن زيارتك › وعند 
إنشاء كل كعكة يخزن سجل موافق في ملف (هو الملف 5۸1. 1ND ٤×‏ في 1nternt‏ 
(Explorer‏ . 


يمكن أن تكون الكعكات دائمة (تحفظ من زيارة لاخرى) وقد تكون صالحة من 
خلال جلسة العمل الحالية فقط › كما يمكن أن يولد موقع الويب الحالي الكعكات 
ويستخدمها بنفسه ». وقد يولدها ليستخدمها موقع آخر › فقد يولدها موقع لشركة استشارية 
ليتم الوصول إليها كلما انتقل المستخدم إلى موقع ويب عبر الأشرطة الإعلانية التي تظهر 
على موقع الشركة . 
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لا تشكل الكعكات خطرا هاما على النظام فهي مقيدة بما يكفي أن تعرفه عنك دون 

سؤالك ويخشى بعض الناس من أن تستخدمها المواقع للبحث في أقراصهم المحلية أو 
قراءة معلومات عن حساباتهم المصرفية وتسحل ما يقومون به من أنشطة › لكن الكعكات 
ليست ملائمة لهذه وتسمح لك معظم المتصفحات بإبطال إمكانية إنشاء واستخدام 
الكعكات لكن استخدامها أصح شاعا لدرحة إن العديد من المواقع لن تعمل بدونها . 
متى يجب أن تشر محقويات المتصفح قلق المستخدم : 
تصبح محتويات المتصفح خطيرة إذا كان بإمكانها القيام بأي من الأفعال التالية : 

- الوصول إلى موارد الحاسوب والملفات المحلية . 

- التشغيل التلقائي على الالة المحلية دون ترخيص المستخدم . 

- البقاء في الذاكرة دون تنبيه المستخدم . 

- التعامل مع البرامج الخارحية الموحودة على الالة المحلية . 

- الوصول إلى نوافذ المتصفح الأخرى والتعامل معها . 

- إطلاق إحراءات جحديدة على الالة المحلية . 


فيروسات الجريد الالكتروني : 

تستطيع رسائل البريد الالكتروني أن تصل إلى آلاف المستخدمين › إن لم نقل 
الملايين بسرعة الضوء لتجوب كوكب الأرض خلال وقت قصير ولذلك أصبحت الرسائل 
وسيلة فعالة لنقل الفيروسات ونشرها . 

كان استخدام ملفات الارتباط (۶1۲١١11ء))1)‏ الوسيلة الوحيدة لنشر الفيروسات على 
البريد الالكتروني خلال السنوات الأولى لظهوره › إذ كان على المستخدم أن يفتح أو 
يشغل ملف الارتىاط لتنفيذ الرماز › ومازالت هذه الطريقة حتى الآن الطريقة الأكثر شيوعا 
لكنها لم تعد الوحيدة إذ أصبح بالإمكان تصفيف ماكروات ورماز تنفيذي وأغراض 


۲۸ 
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٥×‏ 1۷ا۸ فى الرسالة نفسها » ویستطیع زبون الىرید الالکترونى أن ينفذ الرماز دون طلب 
المستخدم . 


سرا مج اأصريد الاأقتروني : 

يتواجد في الأسواق اليوم العديد من برامج البريد الالكتروني الهامة › وقد كتبت 
معظم الفيروسات وبرامج القرصنة لتخترق تحدید!ا الرنامج ok‏ o]ا0ut‏ )؟Microso‏ » لکن 
يمكنها أن تنجح بدرجات مختلفة على معظم برامج البريد الالكتروني الشائعة الاستخدام 


أتماط اأجريد الالكتروني : 
یمکن تصنیف برمحیات البرید الالکترونى فى ثلاث فئات أساسية : 


. (Client / server) زبون / مخدم‎ - 

- برمحيات معتمدة على الوب (Web-based)‏ . 

- برمحيات معتمدة الاستضافة (Host-based‏ . 
بر 


إن النمط الأكثر انتشارا اليوم هو الذي يعتمد على نموذج الزبون / المخدم إذ يتبضع 
برنامج البريد الرئيسي على حاسوب الزبون المحلي ويتصل بقاعدة معطيات مخدم بريد 
رئيسي لإرسال وتلقي الرسائل » حيث يجمع هذا المخدم كل الرسائل ويوزعها أما إلى 
الزبائن وأما إلى مخدمات بريد الكتروني أخرى ليعاد توجيهها إلى وجهاتها . ومن أشهر 
البرامج التي تعتمد على هذا النموذج : 


Netscape Messenger Microsoft Outlook 
Microsoft Exchange ۾‎ 


تسمح أنظمة البريد الالكترونى المعتمدة على الويب Yahoo ş Hot Mail Jie‏ 
11 للمستخدمين النهائيين بتلقي رسائل البريد الالكتروني من آي حاسوب يحوي 
متصفح متصل بالانترنت » إذ يحب على المستخدم أن يدخل اسم حساب البريد وكلمة 


۲۹ 
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مرور من خلال صفحة ا٧11‏ عادية » ولذلك تسمح معظم هذه الأنظمة بإدراج 
الخطاطات ضمن نص رسالة وإرسالها إلى مستخدم الوجهة . وتم تسجيل العديد من 
حالات الاختراق لهذه الأنظمة المعتمدة على الوب » لكن تتمتع هذه الأنظمة من ناحية 
أخرى ببعض المزايا الأمنية إذ تخزن الرسائل عل مخدم بريد الكتروني بعيد وتستخدم 
لنقلها بروتوكولات خاصة › ولذلك لن تستطيع العديد من الفيروسات أن تصل إلى 
حاسوب الزبون . 


أما أنظمة البريد الالكترونى المعتمدة على الاستضافة فلم تعد مستخدمة على نطاق 
واسع اليوم إلا فى الشركات الكبيرة . وفى هذه الأنظمة تخزن برمحيات الزبون والمخدم 
على الحاسوب نفسه » وهى الأنظمة الأكثر أمانا. 


ديدان اأبردد الاأكترونس : 

لم يتطلب انتشار الفيروس ه2كء1اء1 عبر العالم ألا أياما قليلة » ومنذ ذلك الوقت أدرك 
الجميع إن فيروسات أو ديدان البريد الالكتروني باتت تشكل خطرا جديا على 
الحواسيب المنتشرة في العالم » ولا تقتصر مقدرة ها النوع من الفيروسات على الانتشار عبر 
العالم خلال ساعات بل هي تستطيع تعديل أو إذابة كل ملفات الحاسوب أو الشبكة خلال 
الفترة نفسها › إذ قبل أن يدرك مدير الشبكة المحلية وجحود خطاً ما يكون الفيروس قد 
أرسل لاف الرسائل واتلف عشرات آلاف من الملفات . 

يستطيع كاتىو الفيروسات على عوامل نفسية لمساعدة فيروساتهم على الانتشار › 
فالفیروس ۲01 ء۷٥10‏ 1 مثلا موجه للحمیع › بینما هاحم الفیروس 2ء1اء× مرتادي 
المواقع الإباحية » بل حتى هناك فیروس اسمه ۴٥٥101‏ موحه للأطغال . 
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من أهم الفيروسات هي : 
1-Cavity virus‏ 
نوع من الفیروسات يدمج ثم يخفي نفسه في جزء من ملف ما › مما يسمح 
للفيروس بالبقاء مخبئا ودون أن يؤثر على وظيفة الملف . 
2-Worm d4‏ 
برنامج يقوم بنسخ نفسه عبر مجموعة من الحواسيب › ومن الممكن أن تنسخ الدودة 
نفسها داخل الجهاز نفسه مؤدية إلى انهيار النظام . 
یروس اسر وال 3-CIH virus‏ 
فیروس على مستوی عالي من التخريب ظهر أول مرة عام 1998 . يقوم هذا الفيروس 
بمحاولة الكتابة على ال 8105 1٤ه1٣‏ فى الحسب المصاب بحيث يحعل الحاسب غير 
قابل للاقلاع )€nb00)2b1e(‏ . 
أطلق عليه اسم شرنوبل بسبب التاريخ الذي تم تفعيل الفيروس فيه لأول مرة وهو 


ذكرى حادثة المفاعل النووي شرنوبل . 
4-Cluster virus‏ 


فيروس يصيب برنامجا واحدا فقط في النظام ولكن ما يظهر للمستخدم هو إن جميحع 
البرامج قد تمت إصابتها بالفيروس. 

عا عو وا ارون ال ی و ا ج یل ارو ع 
یتم تشغیل آي برنامج وبالتالي يظهر للمستخدم بان الفیروس قد آآصاب کل الملفات . 


۲١ 
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5-Marco virus 
فيروس مكتوب باي لغة ماكرو والتي عادة مدموجة بتطبيق ما حيث يتم تفعيل فيروس‎ 


الماكرو وعند تشغيل أي ملف يفتح بواسطة التطبيق نفسه. 
6-Melissa‏ 


فيروس ماكرو شهير يصيب ملفات ال ۷٥۲١‏ في الرسالة يصل إلى المستخدم كرسالة 
بريد الکتروني مح ملف مرفق یکون عنوانه : 

An Important Messaga From <user name> 

حيث يكون 13۳٩‏ ۲ءء هو احد الأشخاص من دفتر العناوين لديك . عند فتح 
الملف المرفق يقوم الفیروس مباشرة !ذا کان ookاt 0u‏ )؟osoاMic‏ منصبا بارسال 
نفسه إلى ول 50 عنوان من دفتر العناوين لديك › ويقوم الفيروس بالتلاعب بسجلات 
النظام yا)یعRe System‏ یصیب الملف ٥۲٣21.1٥۲‏ وھو قالب ملف ال W٥۲1‏ 
لأي ملف جديد وبالتالي يضمن الفيروس إصابة أي ملف ۷0۲١‏ جديد به . ريما لا 
يمتلك 2ءءاا٥‏ آثار تدميرية كبيرة على الحهاز المصاب لكنه يرهق حساب البريد 
الالكتروني الخاص بك عبر زيادة عدد الرسائل المرسلة إليك مثلا. تم تسمية هذا 


الفيروس بهذا الاسم بعد معرفة الشخص الذي صممه . 
7-malicious mobile code‏ 


فيروس أو برنامج يستفيد من الضعف الموجود في نظام التراسل 
اللاسلكي . يمكن أن يصيب الحواسيب والأجهزة الكفية والهواتف التي تتمتع بقدرة 
الدخول إلى الانترنیت أو أي جهاز آخر یعتمد اسلوب التراسل اللاسلکی. 


8-Multipartite virus 


A 
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فیروس یقوم على دمج قدرات نوعین مختلفین من الفیروسات فیروسات ال 00ط 
)ع وفيروسات الملفات فتقوم هذه الفيروسات باصابة حزء من ملفات النظام ثم 
تتوزع لتنتشر على كافة أجزاء النظام. وكنتيجة لقدرات هذا الفيروس فانه من الصعب 


حدا التخلص منه. 
9-VBS/VBSWOG virus‏ 
اختڪصار Visual Basic Scrip/ Visual Basic Script Worm Generator J‏ ۾وşa‏ 


احد اطقم صناعة الفیروسات kiاھ٥٣ C٥٤٥۸‏ ز۷ والتي تتيح لأي كائن صناعة 


فيروسات بدون أي خبرة عملية بالبرمجة. 


10-Virus Signature 
جزء من کود فیروس ما يقوم بتمييز الفيروس عن غيره من البرامج لذا فان مضاد‎ 
.)51ع٣2۲۷۲٤( الفیروسات يقوم دائما بالىحث عن هذا التوقیع‎ 


11-benign virus 
برنامج عادي يمتلك أي خصائص الفيروس المشهور -التضاعف الذاتى مثلا- ولكنه لا‎ 


يسبب أي ضرر للنظام الذي يصيبه . 


12-Peachy virus 
فيروس ظهر عام 2001 محاولا - ولأول مرة في عالم الفيروسات- ان يقوم بالانتشار عبر‎ 
یستفید‎ Adope Acrobat Kea e] الكتب الالكترونية التی تحتاج‎ P5٣ ملفات ال‎ 


هذا الفیروس من الخاصیة الموحودة فی ۸۰۲٥٥2۲‏ ١ط٥ل۸‏ التی تسمح بدمج ملفات 
عادیة ضمن ملفات ال P5۴‏ . 


13-phage virus 


E 


الفيروسات وكيف تصمم في مهاجمة الملفات عصام سرحان ذیاب 
فيروس تدميري يصيب الأجهزة الكفية التي تشغل النظام 05 ۶۵1۳١‏ › يصيب فيروس 
ال ٤2م‏ احد البرامج ضمن النظام 05 1۳د ثم ينتشر ليصيب كافة البرامج الباقية 
كما يقوم هذا الفيروس بنسخ نفسه في أجهزة أخرى مستفيدا من تقنية 84۳ 
الموجودة في 05 21۳ والتي تسمح بنشر البرامج عبر الأشعة تحت الحمراء. 


14-SHS virus 
اي فيروسات تصيب الحاسب عبر إخفاء ملفات ذات امتداد ١ء . تنتشر هذه‎ 


الفيروسات عادة كملفات مرفقة بالريد الالكترونى . 


15-sparse infector 
مء مخفیا‎ 1۸ ٥٥)0۲ نوع من الفیروسات لا يعمل إلا عند شرط معین ویىقی ال‎ 
داخل النظام ولا يشعر به المستخدم إلا عند شرط محدد بشكل رقمي کكتاريخ معين أو‎ 
. کتشکیل برنامج ما عدد من المرات‎ 


16-Zoo virus 
فيروس الاختبارات أنواع كهذه من الفيروسات لا تنتشر بين مستخدمي الحاسوب‎ 
. وتكون موجودة دوما في مختبرات الش ركات المصنعة لبرامج مضادات الفيروسات‎ 


17-overwriting Virus 
فيروس يقوم بإزالة كافة المعلومات الأصلية الموجودة على الملف المصاب › وبالتالى‎ 
. يحعل الملف عديم القيمة‎ 


18-retro VIİrUS 
فيروس يتبح اسلوب مميزا في التخفي عبر إصابة وتعطيل عمل برنامج مضاد‎ 


الفیروسات يدعی أيضا 
anti-anti-virus‏ 


4 


الفيروسات وكيف تصمم في مهاجمة الملفات عصام سرحان ذیاب 


19-Explorer Zip 
فيروس تدميري يصيب الأجهزة المزودة بنظام sسە0لW¡n )0۴٤0ء1 یمکن وصفه‎ 
بنفس الوقت.‎ 1۲٥۵۲ و‎ W0۲۳ بأنه دودة‎ 


20-Bomb 
. برنامج يتم زرعه في الحاسوب بشکل سري بهدف عطبه وجعله غير قادر على العمل‎ 


21-Back door 
يقوم بالدخول إلى نظام أو شبكة ما عير اختراق نظم الحماية فيه حيث يقوم‎ 
بھدف اكتشاف أخطاء نظام ما يعملون‎ Back door المسرمحين عادة ناء درامج ال‎ 
على تطويره . غالبا ما يتم تسريه ونشره بين المخترقين مما يسبب مشكلة في امن‎ 
. النظام ویدعی أیضا 00۲ لم۲]‎ 


23-1 Love You 
أصاب هذا الفيروس الذي عرف فيما بعد باسم فيروس الحب حوالي عشرة ملايين‎ 
مستخدم خلال اقل من أسبوع من وجوده › وقد تسبب بأضرار اشد من تلك التي‎ 
تسبب بها الفيروس 2كءناء1› وقد أصبح واحدا من أشهر الفيروسات في التاريخ › وقد‎ 
. تم رصد 13 صيغة لهذا الفيروس‎ 


کتب هذا الفیروس بلغة ٥۲1۲۲‏ ۷8 وهو ینتشر عبر البرید الالكتروني › وهو قادر 


على إصابة مستخدمى النظام ۷]N.(0W۷S‏ المشت لديهم الnميöj Windows‏ 


. Scripting Host 


o 


الفيروسات وكيف تصمم في مهاجمة الملفات عصام سرحان ذياب 
أي المستخدمين الذين يستعملون البرنامج 5.0 1۴على أنظمة 1١98‏ و 
5 وهو یستخدم التطبیق ک١٤۲م×ء ٥٥٤‏ ]ا0 لیرسل نسخا إلی کل عناوین البرید 
الالكتروني المسجلة في دفتر العناوين )800 ۶ء٥‏ ل۸ . 


يصل الفيروس مع ملف مرتبط بالرسالة يحمل اسمه للاحقة 85S‏ ۷ . ويختلف 
موضوع ومتن الفيروس تىعا لصيغته إذ يوحد أكثر من 13 صيغة مختلفة من هذا 


: الفيروس » منها مثلا الصيغة التى تظهر كالتالى‎ 
Subject : TI Love You 
Body : Kindly checkthe attached Love Letter coming from me 
Attachment : Love -Letter- From-For-You-TXT-V BS 


نلاحظ هنا استخدام الجزء 1×1 في اسم الملف › وهي على الأغلب وسيلة 
لخداع المستخدم عبر إيهامه بان الملف المرتبط ليس إلا ملفا نصيا آمنا بينما هو فى 
الواقع رماز خطیر بلغة )م!›»ء V8‏ . 
يختبر الفيروس فور تنفيذه قيمة المفتاح التالي في قاعدة سجلات النظام : 


HKEY_CURRENT _USER\SOFTWARE\Microsoft\ windows scripting 
Host\settings\Time out 


فإذا كان لهذا المفتاح قيمة موحىة يضع الفيروس القيمة 0 بدلا منها › أما إذا لم يكن 
هذا المفتاح موحودا! فلا يجري اي تعدیل. 


ھان طlروlڍة 23-Trojan Horse‏ 
سمى هذا الفيروس بحصان طروادة لأنه يذكر بالقصة الشهيرة لحصان طروادة حيث 
اختباً الحنود اليونان داخله واستطاعوا اقتحام مدينة طروادة والتغلب على جيشها وهكذا 
تكون إلية عمل هذا الفيروس حيث يكون مرفقا مع احد البرامج آي يكون جزء من 
برنامج ما دون أن يعلم المستخدم . فعندما يبدا البرنامج تنفيذ عمله ويصل إلى مرحلة ما 


۲٦٢ 
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الفيروس يبدا العمل والتخريب وقد لا يكون هدف الفيروس التخريب هنا قد يكون هدفه 
ربحي كما حصل في إحدى المدن الانكليزية حيت تم توزيح قرص مجاني على 
المشافي به برنامج حول مرض الايدز (أسبابه - طرق انتشاره- طرق العلاج... الخ) وبعد 
مدة شهر من تشغيل البرنامج تم تشفغير المعلومات على الحواسب الحاضنة للفيروس 
وظهرت رسالة مفادها إن الحاسب مصاب بالايدز (المقصود هنا انه تم تشفير ملفات 
الحاسب وإيقافها عن العمل بطريقة نظامية) أرسل مبلغ كذا إلى الحساب كذا ليتم إرسال 
رقم فك الشغرة مما اجبر المختصين بالرضوخ للطلب كونهم لم يستطيعوا فك التشغير . 
توحد عدة تقسيمات للفيروس » فمثلا من حيث سرعة الانتشار هناك فيروسات سريعة 
الانتشار وفيروسات بطيئة الانتشار ومن حيث توقيت النشاط فيروسات تنشط في أوقات 
محددة وفيروسات دائمة النشاط ومن حيث مكان الإصابة فيروسات مقطع التشغيل 
1 ا على الأقراص وهي الأكثر شيوعا › وفیروسات الماكرو ۵٥۲١‏ التي تختص 
بإصابة الوثائق والبيانات الناتجة عن حزمة مايكروسوفت أوفيس ›أما من حيث حجم 
الضرر فهناك الفيروسات المدمرة للأجهزة طبعا لا يبوجد فيروسات خارقة بحيث إنها تدمر 
الأحهزة كما نسمع أحيانا (احترق المعالج بسب الفيروس تعطلت وحدة التغذية بسب 
الفيروس أو تلفت الشاشة بسب 


الفيروس .... الخ) ولكن يمكن للفيروس أن يؤذي الذاكرة روم في الحاسب كما في 
فيروس تشرنوبل أو أن يمحي معلومات 18۸ على القرص الصلب فتعود الأقراص الصلبة 
كما أتت من المصنع وفي الحالتين السابقتين لا يتم إقلاع الجهاز مما يوحي للبعض إن 
الفيروس (حرق) الحاسب طبعا تعتبر هذه الفيروسات خطيرة جدا لأنها تتسبب في إتلاف 
البيانات المخزنة والتي قد تكون (البيانات) نتاج عشرات السنين مما يؤدي إلى خسائر 
جسيمة أو إلى توقف الحاسبات عن العمل كما في تشرنوبل مما يؤدي إلى توقف 
الخدمات المقدمة» وهناك أيضا والفيروسات المدمرة للبرامج وتأثيرها محدود طالما إن 


السيانات لم تتأثر حيث يمكن تخزين البيانات وإعادة تهيئة الحاسب وإعادة البرامج 


۲۷ 
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المتضررة من أقراصها الأصلية › والفيروسات عديمة الضرر وهي التي لا تقوم بأي عمل 
مؤذي وإنما تم برمجتها لإثبات الذات والقدرة على البرمجة من بعض المراهقين فمنها ما 
برسم كره على الشاشة طوال فترة عمل الكومبيوتر ومنها ما يغير بعض الأحرف ( كتغير 
حرف بحرف أينما وجد ) أو تغير مؤشر الماوس ...الخ . 


24-Brontok 
فیروس يخفی خيارات المجلد. هذا الفیروس من ابرز مهامه انه یقوم بإخفاء خیارات‎ 
المجلد من قائمة أدوات الموجودة في نظام الويندوز وأيضا يقوم بتكرار جميع‎ 
المحلدات التى يصيبها حتى انك لا تعرف الأصل من النسخة وقد تحذف الأصل ظنا منك‎ 
انه الفيروس › وهو أبضا يقوم بفتح شاشة الانترنيت اكسبلور ويقوم بفتح شاشة خضراء‎ 
اللون بشكل مستمر مما بسب بطء في النظام ومما يؤدي إلى زيادة انتشار هذا الفيروس‎ 
في الکومبیوتر.‎ 


25-xcopy 
القسم للقرص الصلب ويحعله لا يفتح ساشرة وذلك بزرع ملف‎ ۲2۲۲:٥١ والذي يصيب ال‎ 
وحينما تحاول فتح القسم يعطيك قائمة فتح باستخدام ولا تستطيع الدخول‎ هuotorn‎ 
إلى القسم الذي تريده إلا بطرق ملتوية مثل (استكشاف وتشغيل) للمحترفين فقط ويقوم‎ 
. أيضا بجعل الفلوبي دسك القرص المرن يصيح باستمرار بإدخال قرص مرن للكومبيوتر‎ 


۲۸ 
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من خلال ما تم عرضه في متن البحث يمكن أن نعتبر النقاط التالية أهم ما تم 
التوصل إليه في البح :- 

.١‏ تقسيم الفيروسات الهجومية فئتان الأولى هجومية (الحميدة) والغئة الثانية الهجومية 
(الخطرة أو المدمرة) . 

۲. هناك آنظمة حماية من الفيروسات ونقصد بها المتداولة في الأسواق المحلية تعتبر 
غير جيدة نوعا ما وذلك لأنها مختصة بالفيروسات القديمة التي سبق وان دمرت 
نظمة وأحهزة الكوسيوتر ولا يمكن لهذه الأنظمة الدفاعية أن تعرف إن كان هناك 
صدور لفيروس جديد إلا بعدما يظهر ذلك الفيروس ويقوم بتدمير أجهزة الكومبيوتر 


۳. نظام درع الفيروسات هو نظام مختص بمعالحة الفيروسات الخطرة أو المدمرة 
ويعتبر درع واقي من الغيروسات المعروفة القديمة والغير معروفة . 

>. ومن امتياز نظام درع الفيروسات انه لا يحتاج لعملية التحديث من المستخدم 
بمتابعة مستمرة لعملية ال ع)ة لما . 

ه. تعتبر الثغرة من اخطر الوسائل التي يتم من خلالها انتقال الفيروسات االهجومية 
إلى الحاسوب . 


۲۹ 
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. عندما يصيب الحاسوب بالفيروس الهجومي المدمر ويصده نظام درع الفيروسات 
ويقوم النظام بمعالجته وعليه سوف يشعر المستخدم بوجود أمر غير طبيعي لمدة 
ثانية أو ثواني أو ربما تعيق الجهاز ويعمل ثاني . 


۷. الفيروسات الدفاعية هي عبارة عن حزمة من أوامر نظام التشغيل 005 يمكنه من 
استخدام آكثر من آمر في وقت واحد مما يسهل للمستخدم أمر ٥2‏ و yمهء‏ و 
1 . وتوجد هناك عدد من الطرق التي يتم من خلالها عمل مثل هكذا ملفات 
والتي يمكن استعمالها كفيروسات دفاعية في الحاسوب . 

۸. تعتبر طريقة تشفير الفيروسات من أفضل طرق الحماية لما لها من إمكانية لدمج 
الفیروس وتغیر امتداد الفیروس أما سب من ٥2‏ إلى ٥×‏ يمكنك تغییر امتداد ال 
Bch‏ عن طریق برنامج ٥1ئ8‏ |ua1ء¡۷V‏ ا Miso‏ في الإصدار الخامس 
والسادس . 

. الفيروسات المتجولة كuاز۷‏ icطممصراه۴‏ وهي الأصعب على برنامج المقاومة 
حيث انه صعب الإمساك بها وتتغير من جهاز إلى آخر في أوامرها . 
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